19 Janvier 2021
Ce que disent les documents sur les vaccins anti-Covid-19 volés à l’Agence européenne des médicaments.
Ces données dérobées, puis diffusées sur le Dark Web, montrent la pression à laquelle faisait face l’agence pour approuver au plus vite le vaccin Pfizer-BioNTech.
Des documents confidentiels dérobés à l’Agence européenne des médicaments (EMA) le 9 décembre 2020 refont surface dans le Dark Web. Le Monde a pu en récupérer une partie, et une équipe européenne de journalistes les a épluchés. L’ensemble comprend une vingtaine d’éléments, essentiellement autour du dossier d’évaluation du vaccin de Pfizer-BioNTech. Il comprend également 19 courriels, échangés entre le 10 novembre et le 25 novembre par divers responsables de l’agence, dont certains auraient été « manipulés » par les hackeurs, a averti l’EMA, vendredi 15 janvier, dans un communiqué. Toutefois, dans un échange avec Le Monde, l’agence reconnaît que « les courriels divulgués reflètent les problèmes et les discussions qui ont eu lieu ».
Parmi les e-mails, qui apparaissent dûment datés, avec les différents destinataires visibles, donc a priori moins susceptibles d’avoir fait l’objet de manipulations, cinq permettent de toucher du doigt la pression à laquelle faisait face l’agence pour approuver au plus vite un premier vaccin contre le Covid-19. Dans un échange daté du 12 novembre, une responsable de l’EMA signale par exemple une discussion avec la commissaire européenne à la santé, Stella Kyriakides. Celle-ci s’étant engagée « à ce que tous les Etats membres reçoivent le vaccin en même temps », elle aurait alors insisté sur l’importance de ne pas les « forcer » à utiliser des procédures nationales à cause de délais dans le processus d’autorisation officiel. Selon une directive de l’UE, les Etats peuvent en effet utiliser des médicaments non autorisés par l’EMA en cas d’épidémie.
Le 19 novembre, un haut responsable de l’EMA évoque également une conférence téléphonique avec la Commission européenne qui se serait tenue dans « une atmosphère plutôt tendue, parfois même un peu désagréable, qui donne une idée de ce que à quoi l’EMA peut s’attendre si les attentes ne sont pas satisfaites, que ces attentes soient réalistes ou non ». Le lendemain, dans un échange avec l’Agence danoise du médicament, le même responsable se dit surpris qu’Ursula von der Leyen, présidente de la Commission européenne, ait « clairement identifié les deux vaccins qui pourraient être approuvés avant la fin de l’année [Pfizer-BioNTech et Moderna]. Il y a encore des problèmes avec les deux », souligne l’agent.
C’est sur certains de ces « problèmes » que portent les autres documents dérobés en décembre 2020, non suspectés de manipulations par l’EMA. Et plus particulièrement, les problèmes concernant le vaccin Pfizer-BioNTech. On découvre ainsi qu’en novembre l’agence européenne formulait trois « objections majeures » vis-à-vis de ce vaccin :
1- certains sites de fabrication n’avaient pas encore été inspectés ;
2- il manquait encore des données sur les lots de vaccins commerciaux ;
3 -mais, surtout, les données disponibles révélaient des différences qualitatives entre les lots commerciaux et ceux qui avaient servi durant les essais cliniques. C’est sur ce dernier point que les évaluateurs semblent alors le plus préoccupés.
« Point bloquant »
En effet, pour passer d’un stade clinique à un stade commercial, les fabricants ont dû changer leurs processus de fabrication, ils ont aussi investi dans de nouvelles lignes de production et de nouvelles usines. Autant de modifications qui expliqueraient des différences dans la composition exacte des vaccins, en particulier une diminution du degré d’intégrité de l’ARN. Celui-ci est l’élément crucial de ce vaccin qui permet, une fois injecté dans les cellules, de fabriquer la protéine Spike du virus et ainsi apprendre au système immunitaire à reconnaître ce pathogène et le neutraliser. Les vaccins utilisés lors des essais cliniques possédaient entre 69 % et 81 % d’ARN « intègre », c’est-à-dire la séquence entière permettant de fabriquer la protéine Spike. En revanche, des données sur les lots fabriqués dans ces nouvelles lignes de production révélaient des pourcentages plus faibles, 59 % en moyenne. Certains lots descendaient même jusqu’à 51 % et 52 %. Un « point bloquant », dit l’EMA le 23 novembre.
La question se pose en effet de savoir si ce taux d’ARN plus faible pourrait non seulement impacter l’efficacité de la vaccination mais aussi sa sécurité, car qui dit moins d’ARN intègre, dit plus d’impuretés, notamment d’ARN tronqués. « Nous avons fréquemment des ARN un peu plus courts ou un peu plus longs dans ces produits. On filtre en fonction de la taille de la molécule, mais cette filtration est difficile à grande échelle », commente Steve Pascolo, chercheur à l’hôpital universitaire de Zurich, qui travaille depuis vingt ans sur les vaccins ARN (cofondateur de CureVac en 2000, il a quitté cette entreprise, et a aujourd’hui des projets en commun avec BioNTech). Ces ARN tronqués ne peuvent évidemment plus être traduits en protéine Spike. Toutefois, des données fournies par l’industriel à l’EMA indiquent qu’avec un taux d’ARN complet de 62 %, la protéine est tout de même produite dans des quantités comparables. « Dans les premiers essais de BioNTech, ils avaient des réponses immunitaires avec un seul microgramme d’ARN, pointe Steve Pascolo. Là, le vaccin est censé en avoir 30 microgrammes, donc ils ont de la marge. »
C’est aussi le point de vue de la Food and Drug Administration (FDA) américaine, avec qui l’EMA était en contact. « La question de la teneur en ARN messager n’est pas perçue comme majeure » pour la FDA, explique un responsable de l’EMA dans un mail daté du 23 novembre. Il apparaît en réalité dans ce message que ces problèmes de fabrication et de contrôle qualité n’affectent pas les autorisations d’utilisation d’urgence (mises en œuvre par les Etats-Unis, le Canada ou le Royaume-Uni). Ces dernières ne constituent pas en réalité une autorisation du vaccin lui-même, mais une autorisation de son utilisation temporaire. L’autorisation de mise sur le marché temporaire, que vise l’EMA, semble à l’inverse plus contraignante sur ce point. D’où cette nécessité de « s’aligner sur des spécifications communes » à l’EMA, la FDA et l’Agence canadienne, « afin d’éviter qu’une région obtienne tout le matériel sous-optimal », peut-on lire quelques jours plus tard dans un e-mail.
« Objection majeure »
Le 26 novembre, BioNTech et Pfizer ont l’occasion de répondre aux objections de l’EMA. Des inspections des différents sites sont en cours, peut-on lire dans leur présentation. Ils proposent aussi de relever le taux d’intégrité minimum d’ARN à 60 % dans les premières étapes de fabrication pour éviter de se retrouver en dessous de 50 % dans le produit final, ce qui apparaît comme le critère d’acceptation dans tous les documents consultés. Dans leur présentation, les fabricants de ce vaccin dit Comirnaty affirment que ces différences de quantité d’ARN « ne devraient pas affecter » ni l’efficacité ni la sécurité de leur produit. Certains de ces lots ont été utilisés dans des essais cliniques.
Mais l’EMA ne semble pas encore convaincue, puisque les derniers documents ou échanges disponibles ne permettent pas encore de lever cette « objection majeure ». Une capture d’écran d’un mail échangé le 30 novembre entre l’EMA et les fabricants le confirme : « Ces problèmes sont considérés comme critiques, en particulier dans le contexte de la nouveauté de ce type de produit et de l’expérience limitée, une stratégie de contrôle plus stricte est donc attendue ». Dans l’un des derniers rapports accessibles, on apprend toutefois qu’un ajustement des procédés de fabrication permet de retrouver des niveaux d’intégrité autour de 75 %, comparables aux lots des essais cliniques.
Trois jours plus tard, le 3 décembre, le Wall Street Journal publiait un article faisant état d’un problème de production du vaccin Pfizer. « Certains premiers lots de matières premières ne répondaient pas aux normes. Nous avons résolu le problème, mais nous avons manqué de temps pour répondre aux expéditions prévues de cette année », y explique une « personne directement impliquée dans le développement du vaccin Pfizer ». Faut-il y voir un lien ? Pfizer n’a pas souhaité s’exprimer, mentionnant uniquement l’enquête en cours de l’EMA sur la cyberattaque. Vendredi 15 janvier, BioNTech et Pfizer ont à nouveau annoncé des retards de livraison, invoquant des travaux nécessaires dans l’usine belge de Puurs.
Sollicitée, l’EMA a confirmé que ce problème de qualité avait été réglé par la suite : « La société a été en mesure de résoudre ces problèmes et de fournir les informations et données nécessaires pour permettre à l’EMA d’évoluer vers une recommandation positive pour ce vaccin ». L’agence assure par ailleurs que les spécifications actuelles sur le niveau d’ARN « sont considérées comme scientifiquement justifiées et acceptables ». Il est par exemple peu probable, souligne l’agence, que ces molécules d’ARN tronquées puissent être traduites en protéine ou en peptide, et ainsi provoquer des effets indésirables. « Malgré l’urgence, il y a toujours eu un consensus dans toute l’UE pour ne pas compromettre les normes de haute qualité et pour fonder toute recommandation sur la force des preuves scientifiques, sur la sécurité, la qualité et l’efficacité d’un vaccin, et rien d’autre », insiste l’EMA. La Commission européenne a également répondu à notre sollicitation : elle affirme que ces discussions « n’ont jamais empiété sur l’indépendance de l’agence et n’ont jamais interféré de quelque manière que ce soit avec l’intégrité de la mission de l’EMA en ce qui concerne l’évaluation des candidats-vaccins ou d’autres médicaments ».
La piste russe ou russophile
Reste à savoir qui pourrait être derrière cette attaque. Les fichiers ont été récupérés sur Rutor : « Ru » pour Russia (Russie) et « tor », comme le navigateur Web permettant de naviguer de façon anonyme sur le Web. Ce qui pourrait accréditer l’idée d’un hackeur d’Etat russe ou russophile. « Ce genre de tactique de piratage avec vol de données, suivi de fuite, a déjà été pratiqué par des agents russes (Guccifer 2.0, ou l’affaire de l’Agence mondiale antidopage) », explique Jean-Michel Doan, spécialiste en cybercriminalité chez Sekoia, une entreprise de sécurité informatique. Difficile d’exclure également le cyberespionnage industriel, d’autant plus qu’il semble y avoir eu une sélection des documents visant spécifiquement Pfizer. La manière dont ce dossier a été nommé le suggère également : « Preuves de la grande arnaque aux données des vaccins de Pfizer (…) ! » Quid d’un groupe antivax qui chercherait à décrédibiliser les vaccins ? « Il est peu probable qu’un hackeur antivax publie ensuite ses données sur un site assez obscur, spécialisé en piratage », commente Jean-Michel Doan.
Quelle que soit la lecture de ces documents, les faits sont les suivants : le vaccin de Pfizer-BioNTech sera finalement approuvé le 21 décembre 2020 par l’EMA, soit trois semaines après le Royaume-Uni et deux semaines après les Etats-Unis, ce qui montre que l’Agence européenne a malgré tout pris un certain temps pour résoudre ce problème de qualité avant de donner son feu vert. Un délai qui était pourtant jugé « difficilement acceptable par la Commission européenne », d’après un échange de courriels entre collègues de l’EMA daté du 19 novembre : « Quoi que nous fassions, accélérer le processus pour s’aligner [sur les autres agences] ou prendre le temps nécessaire pour avoir une garantie robuste (…), l’EMA devra faire face aux questions et aux critiques de diverses parties (Commission européenne, Etats membres, Parlement européen, médias, grand public) », y écrit un haut responsable de l’agence. Il n’avait pas prévu qu’une cyberattaque viendrait aussi s’y mêler.
Cette enquête fait partie du projet européen #behindthepledge, financé par Journalismfund et IJ4EU. Ludovica Jona (Italie), Hristo Boytchev (Allemagne), Lucien Hordijk (Pays-Bas) et Priti Patnaik (Suisse) y ont également contribué.